Data breach GoDaddy, violati migliaia di account di web hosting

Martedì 5 maggio 2020 la società GoDaddy ha comunicato di essere stata vittima di un databreach che ha compromesso le credenziali degli account di circa 28.000 clienti. Cosa è realmente accaduto?

La comunicazione di notifica (Breach Notification) a firma del CISO e VP di GoDaddy Demetrius Comes è stata fatta all’ufficio del Procuratore Generale della California.
Nella comunicazione GoDaddy ha rivelato che l’attività sospetta si è verificata su alcuni dei suoi server lo scorso 19 ottobre 2019, ma la scoperta del data breach è stata fatta solo il 23 aprile 2020 quando GoDaddy ha rilevato che un individuo non autorizzato aveva ottenuto l’accesso alle credenziali di accesso (username e password) circa 28.000 clienti che utilizzano SSH (Secure Shell) per connettersi ai loro account di hosting.
La società ha dichiarato che solo i nomi utente e le password utilizzate per accedere ai server ospitati in remoto sono stati compromessi e che “l’attore della minaccia non aveva accesso ai principali account GoDaddy dei clienti”. Ha aggiunto di aver immediatamente reimpostato i nomi utente e password e che non ha alcuna indicazione che l’intruso abbia utilizzato le credenziali dei clienti o che abbia modificato i loro account di hosting.
Inoltre si è resa disponibile a fornire gratuitamente ai clienti coinvolti un abbonamento annuale al suo servizio di sicurezza del sito web e di rimozione del malware.

Chi è GoDaddy

L’attacco è rilevante per le caratteristiche e le dimensioni dell’azienda colpita: GoDaddy è una società con sede a Scottsdale, Arizona che conta 19,3 milioni di clienti con un fatturato di 2,99 miliardi di dollari e oltre 9.000 dipendenti (dati fine 2019).
Dichiara di essere “il registrar di nomi di dominio più grande del mondo” con oltre 78 milioni nomi di dominio in gestione.
È anche una società di web hosting ed ha una piattaforma cloud dedicata ad aziende di piccole dimensioni. È quotata al NYSE (codice GDDY) e – a quanto pare – la notizia del databreach non l’ha danneggiata, dal momento che nella giornata successiva alla comunicazione, mercoledì 6 maggio, le sue azioni hanno segnato un +2,01%.

Cosa è SSH e a cosa serve

L’attacco ha interessato, come abbiamo detto, circa 28.000 clienti che utilizzano SSH (Secure Shell) per connettersi ai loro account di hosting.
SSH è l’acronimo di Secure SHell (ovvero shell sicura). Si tratta di un un protocollo che permette di stabilire una connessione client-server cifrata (quindi sicura) con un host remoto attraverso un canale aperto ed insicuro come per esempio la rete internet. In pratica la shell, in quanto interprete dei comandi, permette di inviare comandi in remoto da un sistema ad un altro e di operare su più sistemi contemporaneamente da un unico terminale in modo sicuro.
SSH è stato creato da Tatu Ylonen e rilasciato nella versione SSH 1.0 nel 1995. Opera sulla porta standard 22, assegnata allora da IANA (Internet Assigned Numbers Authority), essendo le porte 21 e 23 già dedicate rispettivamente a FTP e telnet.
Oggi SSH è diventato uno standard utilizzato su praticamente tutti i sistemi operativi UNIX, Linux, macOS e Microsoft Windows. Ha soppiantato l’ormai desueto ed insicuro “telnet”. E come telnet ha un interfaccia a riga di comando. 
Come detto SSH è cifrato: usa la crittografia asimmetrica con l’algoritmo di scambio delle chiavi Diffie-Hellman che serve per l’autenticazione a chiave pubblica. Una volta eseguito lo scambio delle chiavi, la comunicazione cifrata tra client e server utilizza algoritmi di crittografia simmetrica (computazionalmente meno onerosi di quelli asimmetrici).
Quindi SSH offre un modo sicuro – se configurato correttamente – per lavorare con sistemi remoti e trasferire file in rete. 
In una società come GoDaddy, SSH viene utilizzato dai clienti per connettersi ai loro account di hosting per caricare o spostare file ed eseguire comandi.
Con queste premesse, possiamo supporre che l’incidente accaduto a GoDaddy non sia imputabile a vulnerabilità del protocollo SSH.

Cosa potrebbe essere accaduto?

GoDaddy non ha rivelato l’esatta causa della violazione dei dati, ma è interessante quanto segnalato il 31 marzo scorso dal giornalista investigativo statunitense Brian Krebs che ha pubblicato la notizia sul suo blog KrebsOnSecurity: un rappresentante del servizio clienti di GoDaddy è stato vittima di un attacco di social engineering, realizzato con un’e-mail di spear-phishing.
L’azione ha permesso all’attaccante di visualizzare ed accedere ai record di alcuni clienti. L’accesso è stato utilizzato per modificare le impostazioni del dominio per una mezza dozzina di clienti GoDaddy, compreso il sito di intermediazione delle transazioni escrow.com. Durante l’incidente, per poche ore, gli hacker hanno modificato (“hijacked”) i record DNS di Escrow.com per reindirizzare su un sito web diverso (puntavano a un indirizzo Internet in Malesia: 111.90.149[.]49).
Matt Barrie, CEO di Freelancer.com, l’azienda che controlla escrow.com ha dichiarato che nessun sistema di Escrow.com è stato compromesso e che non sono stati violati i dati dei clienti.

Non è neppure chiaro se l’incidente denunciato da GoDaddy sia stato causato dal riutilizzo di credenziali precedentemente rubate (se ne trovano a miliardi nel Dark Web, a prezzi che sono di pochi dollari) o da attacchi di tipo “brute force” (meno probabile).
Anche sulla base della segnalazione di KrebsOnSecurity, si può ritenere che comunque l’attacco sia stato reso possibile – come quasi sempre – dall’errore umano, che ha permesso l’intrusione nei server dell’azienda e il furto di dati.

In ogni caso, qualsiasi accesso non autorizzato tramite gli account SSH non sarebbe potuto avvenire se GoDaddy avesse utilizzato l’autenticazione a due fattori (MFA) o la gestione degli accessi privilegiati (PAM) per gli account di accesso remoto.
Per questo – e questa vicenda ce lo insegna per l’ennesima volta – è importante mettere in pratica misure di “hardening” dei sistemi, sia da parte di GoDaddy che dei suoi clienti. Misure che sono, per esempio:

  • Utilizzare l’autenticazione a 2 fattori, sia per SSH che per l’accesso al backend dei siti.
    Per avere la misura di quanto questa sia importante per la sicurezza di qualsiasi account, citiamo un recente dato pubblicato da Microsoft nel corso della RSA Conference, che si è svolta dal 24 al 28 febbraio di quest’anno a San Francisco: su un campione rilevato in gennaio 2020 di circa 1,2 milioni di account compromessi, oltre il 99,9% degli account compromessi non aveva la MFA.
  • Password management: utilizzare password forti ed univoche e gestirle con password manager
  • Rafforzare la sicurezza degli account dei domini esistenti con le società di registrazione, attivando sistemi di notifica sicuri quando e se un dominio sta per scadere (questo per evitare attacchi di phishing, molto usati in queste circostanze).
  • Utilizzare le funzioni di registrazione come Registry (o Registrar) Lock che possono aiutare a proteggere i record dei nomi di dominio dalla modifica (Domain Hijacking). Questa misura può impedire il trasferimento fraudolento di un dominio da un registrar ad un altro, con la perdita del dominio da parte del legittimo proprietario.
  • Implementare  il protocollo DNSSEC (Domain Name System Security Extensions) per evitare gli attacchi di “cache poisoning” che mirano ad alterare il contenuto della cache dei server DNS. Con  DNSSEC viene certificato in maniera inoppugnabile che il sito web che si sta visitando è proprio quello che dichiara di essere. Non tutti i TLD (Top Level Domain) supportano DNSSEC, ma – ove disponibile – questa è un’opzione migliore dei soli certificati SSL (quelli che hanno i siti HTTPS) perché non è raro vedere certificati falsi.

Quali potrebbero essere i rischi per i clienti di GoDaddy?

Le credenziali del database compromesse potrebbero essere utilizzate per ottenere il controllo di un sito, se le connessioni remote del database sono abilitate, cosa che GoDaddy permette su molti dei suoi account di hosting. Potrebbe essere accaduto, fino alla scoperta del databreach, ma GoDaddy, appena avuta la consapevolezza dell’intrusione, forzato la modifica delle credenziali violate, quindi questo rischio ora è da ritenersi superato.

Non è noto – e probabilmente non lo sarà mai – quali e quanti altri dati sia riuscito ad esfiltrare l’attaccante nel tempo in cui ha avuto accesso agli account violati e se questi dati sono finiti nel mercato nero del Dark Web. È noto che uno degli scopi degli attacchi informatici è proprio la Persistenza, il Covering Tracks: l’attaccante cerca di cancellare le tracce della sua presenza, così da rimanere all’interno del sistema infiltrato più lungo possibile, senza farsi scoprire. Per ottenere questo scopo utilizza tecniche di manipolazione e/o cancellazione dei log di sistema. Questo lasso di tempo, che è definito “finestra di compromissione” o “dwell time” è – statisticamente – di circa 220÷250 giorni. Quindi in linea con quanto trascorso dall’attacco a GoDaddy e la sua scoperta (da ottobre 2019 ad aprile 2020). Durante questa finestra temporale di circa sei mesi, molti dati potrebbero essere stati esfiltrati o alterati.

Di una cosa possiamo essere ragionevolmente certi: questo genere di violazioni, ancorché non riescano a causare danni maggiori, possono essere utilizzate per campagne di spear phishing, mirato in questo caso ai clienti di GoDaddy.

Il phishing è un attacco in cui un aggressore crea un’e-mail che sembra provenire da una fonte legittima, ma che ha lo scopo di ottenere informazioni sensibili da un utente ignaro. Anche se solo 28.000 account di hosting sembrano essere stati colpiti, sono milioni (oltre 78 milioni, come dichiarato dall’azienda) i siti ospitati da GoDaddy. 

Ciò significa che ci sono milioni di clienti che potrebbero ricevere un’email con una notifica di violazione del loro account di hosting. E questa email potrebbe essere costruita appositamente per risultare inviata da GoDaddy…

Questo articolo è stato pubblicato anche su CYBERSECURITY360, testata del Network Digital 360 specializzata nella Cybersecurity, con la quale collaboro sin dalla sua nascita.
L’articolo “Data breach GoDaddy, violati migliaia di account di web hosting: che c’è da sapere” si può leggere in questo link.


© Copyright 2020 Giorgio Sbaraglia
All rights reserved.

Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.


Lascia un commento